Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het volgende document is een technische naslaginformatie over de vereiste poorten en protocollen voor het implementeren van een hybride identiteitsoplossing. Gebruik de volgende afbeelding en raadpleeg de bijbehorende tabel.
Tabel 1 - Microsoft Entra Connect en on-premises AD
In deze tabel worden de poorten en protocollen beschreven die vereist zijn voor communicatie tussen de Microsoft Entra Connect-server en on-premises AD.
| protocol | Poorten | Beschrijving |
|---|---|---|
| DNS (Domeinnaamsysteem) | 53 (TCP/UDP) | DNS-zoekacties op het doelforest. |
| Kerberos | 88 (TCP/UDP) | Kerberos-verificatie voor het AD-forest. |
| MS-RPC | 135 (TCP) | Wordt gebruikt tijdens de eerste configuratie van de Microsoft Entra Connect-wizard wanneer deze wordt gekoppeld aan het AD-forest en ook tijdens wachtwoordsynchronisatie. |
| LDAP | 389 (TCP/UDP) | Wordt gebruikt voor het importeren van gegevens uit AD. Gegevens worden versleuteld met Kerberos Sign & Seal. |
| Kleine en Middelgrote Ondernemingen (SMB) | 445 (TCP) | Wordt gebruikt door naadloze eenmalige aanmelding om een computeraccount te maken in het AD-forest en tijdens het terugschrijven van wachtwoorden. Zie Het wachtwoord van een gebruikersaccount wijzigen voor meer informatie. |
| LDAP/SSL | 636 (TCP/UDP) | Wordt gebruikt voor het importeren van gegevens uit AD. De gegevensoverdracht is ondertekend en versleuteld. Alleen gebruikt als u TLS gebruikt. |
| RPC | 49152- 65535 (willekeurige hoge RPC-poort) (TCP) | Wordt gebruikt tijdens de eerste configuratie van Microsoft Entra Connect wanneer deze wordt gekoppeld aan de AD-forests en tijdens wachtwoordsynchronisatie. Als de dynamische poort is gewijzigd, moet u die poort openen. Zie KB929851, KB832017 en KB224196 voor meer informatie. |
| WinRM | 5985 (TCP) | Alleen gebruikt als u AD FS installeert met gMSA door de Microsoft Entra Connect-wizard |
| AD DS-webservices | 9389 (TCP) | Alleen gebruikt als u AD FS installeert met gMSA door de Microsoft Entra Connect-wizard |
| Globale catalogus | 3268 (TCP) | Wordt gebruikt door naadloze eenmalige aanmelding om een query uit te voeren op de globale catalogus in het forest voordat u een computeraccount in het domein maakt. |
Tabel 2 - Microsoft Entra Connect en Microsoft Entra ID
In deze tabel worden de poorten en protocollen beschreven die vereist zijn voor communicatie tussen de Microsoft Entra Connect-server en Microsoft Entra-id.
| protocol | Poorten | Beschrijving |
|---|---|---|
| HTTP | 80 (TCP) | Wordt gebruikt om CRL's (certificaatintrekkingslijsten) te downloaden om TLS/SSL-certificaten te verifiëren. |
| HTTPS | 443 (TCP) | Wordt gebruikt om te synchroniseren met Microsoft Entra-id. |
Zie Office 365-URL's en IP-adresbereiken enprobleemoplossing voor Microsoft Entra Connect-connectiviteit voor een lijst met URL's en IP-adressen die u moet openen in uw firewall.
Tabel 3 - Microsoft Entra Connect en AD FS Federation Servers/WAP
In deze tabel worden de poorten en protocollen beschreven die vereist zijn voor communicatie tussen de Microsoft Entra Connect-server en AD FS Federation/WAP-servers.
| protocol | Poorten | Beschrijving |
|---|---|---|
| HTTP | 80 (TCP) | Wordt gebruikt om CRL's (certificaatintrekkingslijsten) te downloaden om TLS/SSL-certificaten te verifiëren. |
| HTTPS | 443 (TCP) | Wordt gebruikt om te synchroniseren met Microsoft Entra-id. |
| WinRM | 5985 | WinRM-listener |
Tabel 4 - WAP- en federatieservers
In deze tabel worden de poorten en protocollen beschreven die vereist zijn voor communicatie tussen de federatieservers en WAP-servers.
| protocol | Poorten | Beschrijving |
|---|---|---|
| HTTPS | 443 (TCP) | Wordt gebruikt voor verificatie. |
Tabel 5 - WAP en gebruikers
In deze tabel worden de poorten en protocollen beschreven die vereist zijn voor communicatie tussen gebruikers en de WAP-servers.
| protocol | Poorten | Beschrijving |
|---|---|---|
| HTTPS | 443 (TCP) | Wordt gebruikt voor apparaatverificatie. |
| TCP | 49443 (TCP) | Wordt gebruikt voor certificaatverificatie. |
Table 6a & 6b - Passthrough-verificatie met eenmalige aanmelding (SSO) en Wachtwoord-hashsynchronisatie met eenmalige aanmelding (SSO)
In de volgende tabellen worden de poorten en protocollen beschreven die vereist zijn voor communicatie tussen de Microsoft Entra Connect en Microsoft Entra-id.
Tabel 6a - Passthrough-verificatie met eenmalige aanmelding
| protocol | Poorten | Beschrijving |
|---|---|---|
| HTTP | 80 (TCP) | Wordt gebruikt om CRL's (certificaatintrekkingslijsten) te downloaden om TLS/SSL-certificaten te verifiëren. Ook nodig om de functie voor automatisch bijwerken van de connector goed te laten functioneren. |
| HTTPS | 443 (TCP) | Wordt gebruikt om de functie in te schakelen, connectors te registreren, connectorupdates te downloaden en alle aanmeldingsaanvragen van gebruikers af te handelen. |
Daarnaast moet Microsoft Entra Connect directe IP-verbindingen kunnen maken met de IP-adresbereiken van het Azure-datacenter.
Tabel 6b - Wachtwoord-hashsynchronisatie met eenmalige aanmelding
| protocol | Poorten | Beschrijving |
|---|---|---|
| HTTPS | 443 (TCP) | Wordt gebruikt om eenmalige aanmelding in te schakelen (alleen vereist voor het SSO-registratieproces). |
Daarnaast moet Microsoft Entra Connect directe IP-verbindingen kunnen maken met de IP-adresbereiken van het Azure-datacenter. Nogmaals, dit is alleen vereist voor het registratieproces voor eenmalige aanmelding.
Tabel 7a & 7b - Microsoft Entra Connect Health-agent voor (AD FS/Sync) en Microsoft Entra-id
In de volgende tabellen worden de eindpunten, poorten en protocollen beschreven die vereist zijn voor communicatie tussen Microsoft Entra Connect Health-agents en Microsoft Entra-id
Tabel 7a - Poorten en protocollen voor Microsoft Entra Connect Health-agent voor (AD FS/Sync) en Microsoft Entra-id
In deze tabel worden de volgende uitgaande poorten en protocollen beschreven die vereist zijn voor communicatie tussen de Microsoft Entra Connect Health-agents en de Microsoft Entra-id.
| protocol | Poorten | Beschrijving |
|---|---|---|
| Azure Service Bus (een cloud-gebaseerde berichtendienst van Microsoft) | 5671 (TCP) | Wordt gebruikt om statusgegevens naar Microsoft Entra-id te verzenden. (aanbevolen maar niet vereist in de nieuwste versies) |
| HTTPS | 443 (TCP) | Wordt gebruikt om statusgegevens naar Microsoft Entra-id te verzenden. (failback) |
Als 5671 wordt geblokkeerd, valt de agent terug op 443, maar wordt het gebruik van 5671 aanbevolen. Dit eindpunt is niet vereist in de nieuwste versie van de agent. Voor de nieuwste versies van de Microsoft Entra Connect Health-agent is alleen poort 443 vereist.
7b - Eindpunten voor Microsoft Entra Connect Health-agent voor (AD FS/Sync) en Microsoft Entra-id
Zie de sectie Vereisten voor de Microsoft Entra Connect Health-agent voor een lijst met eindpunten.